reddel Posté(e) le 6 octobre 2013 Posté(e) le 6 octobre 2013 Bonsoir à toutes et à tous, Nous avons un problème de gestion de droits d'accès sur les répertoires partagés pour lequel nous avons ouvert un ticket chez Synology, pour l'instant sans réponse. Je m'explique: Nous avons 4 serveurs Syno avec un LDAP commun pour gérer les comptes utilisateurs et les droits. Sur les serveurs, nous avons des partages "Client" et des partages "Fournisseurs", entre autres. Sous chacun des dossiers partagés, nous avons une arborescence (année, nom du client, etc.) Chaque client, fournisseur ou utilisateur interne a un droit R / W sur ses directories. Jusque là, tout va bien... Là où ça se complique, c'est que nous souhaitons que les répertoires sur lesquels un utilisateur n'a aucun droit ACL ou autre ne puisse être identifiable par celui-ci. En clair il ne faut pas que le fournisseur A puisse savoir que nous travaillons avec le B, et vice versa. N'ayant pas à ce jour trouvé de solution, nous avons contourné le problème en intercalant une numérotation des fournisseurs (en tant que répertoire) et interdit l'accès aux autres utilisateurs... Mais c'est très long à créer et le risque d'erreur est important. En plus ce n'est pas propre. Quelqu'un a-t-il déjà réussi à résoudre ou à contourner cela??? Merci beaucoup pour votre aide précieuse 0 Citer
CoolRaoul Posté(e) le 7 octobre 2013 Posté(e) le 7 octobre 2013 Faut comprendre que la visibilité de la présence d'un objet (fichier ou dossier) dépend des droits que l'on a sur le répertoire qui le contient et pas des droits sur l'objet lui même. Pour parvenir a ce que vous souhaitez, Il y a peut-être façon de faire en interdisant la visibilité directe des dossiers "client" en ajoutant une l'ACL ad hoc sur les dossiers "année". Mais pour que ce soit utilisable, tout dépend comment les fournisseurs accèdent aux données: filestation, ftp, webdav? 0 Citer
reddel Posté(e) le 7 octobre 2013 Auteur Posté(e) le 7 octobre 2013 Bonjour, Merci pour cette réponse. En fait, tout d'abord sous File Station, comme il est précisé dans la doc, la fonction "masquer les dossiers des utilisateurs sans autorisation" ne fonctionne que dans l'explorateur Windows, ce qui est dommageable dans le cadre d'une utilisation professionnelle. Il faut espérer que Synology traite rapidement ce dysfonctionnement qui rend bancale la solution suivant les moyens d'accès utilisés (FTP, Webdav, Windows Explorer ou File Station). Pour notre société, on ne peut pas se permettre ce type de bévue. Ce qui est plus embêtant, c'est que Synology fait le mort et ne semble pas très motivé sur le sujet... Par exemple, sur le support US: http://forum.synology.com/enu/viewtopic.php?f=111&t=19431&hilit=Hide+folders+in+Windows+Network Bon, c'est rassurant de ne pas se sentir seul... Notre solution de contournement, qui tient plus de l'usine à gaz qu'autre chose, permet de gérer partiellement le problème pour l'instant, mais nous prévoyons une montée en charge assez rapidement avec le transfert de tous nos clients sur le Syno, et là ça va devenir ingérable... Nos clients ou fournisseurs utilisent File Station principalement, mais également Windows Explorer à travers des Vpn Ipsec, du FTP / SSL. Il faut donc que le résultat soit identique quelque soit le moyen d'accès. Au pire des cas on les fera redescendre dans leur home directory, mais là aussi c'est bof-bof... En cherchant un peu, la fonction attendue sur le SMB correspond à une implémentation correcte de Access-based Enumeration, disponible sous Windows 2008 en standard. En attendant, si vous avez une solution miracle, ce serait génial !!! Didier 0 Citer
CoolRaoul Posté(e) le 8 octobre 2013 Posté(e) le 8 octobre 2013 (modifié) Au passage merci de ne pas avor pas souligné la stupidité de ma question ("comment les fournisseurs accèdent aux données?") vu que filestation était cité dans le sujet du fil! Pour en revenir au sujet initial, votre demande est réalisable sous réserve d'utiliser une méthode d’accès aux données permettant de spécifier directement le chemin complet du répertoire cible pour l'utilisateur (comme, en SMB/CIFS en utilisant un chemin UNC tel que "<serveur>fournisseurs2013ACME_INC", ou via FTP avec une commande "cd <chemin complet>"). Chose que ne permet justement pas filestation (ou, sauf erreur de ma part, on ne peut que naviguer dans les répertoires). En positionnant judicieusement l'ACL du dossier "fournisseurs" on peut parvenir au but Voici le droit qu'il s'agit d'interdire: Donc, il suffit de s'assurer que les comptes fournisseurs", disposent bien sur le dossier "fournisseurs" du droit "traverser les dossiers" mais pas du droit "lister les dossiers". Et attention a ne pas laisser propager cette entrée aux dossier/fichiers enfants: Les utilisateurs dont les identifiant de connexion auront pour effet d'activer cette entrée d'ACL ne pourront plus consulter le contenu du dossier "fournisseur". Mais cela ne les empêchera pas d'accéder à ses sous-dossiers sous réserve d'employer le chemin complet. Mais a nouveau ceci exclue l'utilisation de filestation. Modifié le 8 octobre 2013 par CoolRaoul 0 Citer
reddel Posté(e) le 8 octobre 2013 Auteur Posté(e) le 8 octobre 2013 Nous avions effectivement testé ce mode de fonctionnement. Ça fonctionne parfaitement sous Windows Explorer, mais pas sous FileStation... Merci en tout cas d'avoir essayé... Cordialement. Didier 0 Citer
CoolRaoul Posté(e) le 9 octobre 2013 Posté(e) le 9 octobre 2013 (modifié) Nous avions effectivement testé ce mode de fonctionnement. Ça fonctionne parfaitement sous Windows Explorer, mais pas sous FileStation... En fait ce n'est pas forcément que ça ne fonctionne pas c'est que je n'ai pas trouvé de moyen d'invoquer filestation en lui communiquant directement le chemin du répertoire à ouvrir. Je pensais par exemple à un truc du genre http://<NAS>/filestation?directory=<chemin> Modifié le 9 octobre 2013 par CoolRaoul 0 Citer
reddel Posté(e) le 10 octobre 2013 Auteur Posté(e) le 10 octobre 2013 Cette méthode ne fonctionne malheureusement pas non plus. Le support Synology nous a répondu : le problème est connu et doit être traité prochainement. J'ai ajouté sur le forum dans la rubrique suggestion l'ajout de la fonctionnalité qui est en fait l'implémentation correcte de "Access Based Enumeration". C'est cette fonction qui permet le masquage des répertoires aux utilisateurs non autorisés. Donc à suivre. 0 Citer
CoolRaoul Posté(e) le 13 octobre 2013 Posté(e) le 13 octobre 2013 Cette méthode ne fonctionne malheureusement pas non plus. De quelle méthode est-il question qui ne "fonctionne pas"? L'URL d'appel de FileStation sur un dossier spécifique que j'ai donnée était juste une hypothèse à titre exemple. On ne peut pas savoir si ça fonctionne ou pas puisque, si ça existe, ce n'est pas documenté et qu'il est donc impossible de deviner quelle est serait la bonne syntaxe à employer pour tester. 0 Citer
reddel Posté(e) le 17 octobre 2013 Auteur Posté(e) le 17 octobre 2013 La méthode de passer en paramètre un nom de répertoire... D'après le support il est impossible de passer des paramètres à File Station. C'est dommage, car ça aurait été un excellent moyen de contournement. Un correctif doit être implémenté dans une toute prochaine release. En attendant, on transite par un front end temporaire. Bonne soirée. 0 Citer
SiYes Posté(e) le 10 janvier 2014 Posté(e) le 10 janvier 2014 (modifié) La méthode de passer en paramètre un nom de répertoire... D'après le support il est impossible de passer des paramètres à File Station. C'est dommage, car ça aurait été un excellent moyen de contournement. Pas forcément : si tu avais pu créer des liens directement avec les noms de répertoires pour ainsi t'économiser la création du code client (long et risque d'erreur), alors, une fois que tu aurais eu transmis à ton client Apple ton lien "htp://chezreddel/blabla/apple"; rien ne l'empêchait de tester, juste pour voir, "htp://chezreddel/blabla/samsung", "htp://chezreddel/blabla/nokia", "htp://chezreddel/blabla/citroen", "htp://chezreddel/blabla/intel", ... ;-) depuis Octobre, tu as eu des nouvelles de cette amélioration promise ? Modifié le 10 janvier 2014 par SiYes 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.